Close

Programa de gestión de riesgos


¿Qué es?

Cuando pensamos en el término “riesgo”, muchas personas lo asocian a “lo que podría salir mal”. Aunque es una definición a grandes rasgos correcta y arraigada en un sesgo cognitivo evolutivo, no es completa. Según la norma ISO 31000, el riesgo es “el efecto de la incertidumbre en los objetivos”. Por tanto, cuando hablamos de riesgo, debemos considerarlo una incertidumbre que supone tanto un peligro como una oportunidad.

¿Y por qué nos preocupa el riesgo? ¿No se trata de un proceso empresarial/burocrático? Para responder, debemos fijarnos en el otro lado de la moneda, la confianza, que es lo opuesto al riesgo. Por tanto, el fin último de los programas de gestión de riesgos es aumentar la confianza, lo que incluye:

  • La confianza que los clientes tienen en nuestros productos, servicios, comportamiento empresarial, etc., que se traduce en mayores ingresos;
  • La confianza que los reguladores tienen en que seguimos las reglas, que se traduce en menores costes regulatorios y de mercado; y
  • La confianza que nuestros empleados tienen en Atlassian, que se traduce en una mayor satisfacción y una menor rotación.

En un estudio de 2013 desarrollado por el Boston Consulting Group, los clientes identificaron la confianza como una de las principales cualidades que los atraen hacia una marca.

Asumir riesgos es parte de la vida; continuamente los evaluamos y comparamos con los beneficios que obtenemos en consecuencia. En el perfil de riesgo de una empresa los encontramos de muchos tipos: financieros, de marketing, legales/regulatorios, de fraude, de seguridad, operativos, etc., y es preciso equilibrarlos. Los objetivos del Programa de riesgos empresariales (ERM, por sus siglas en inglés) son:

  1. Identificar y analizar los riesgos;
  2. Decidir qué acciones deben tomarse;
  3. Poner en práctica las acciones; e
  4. Informar de la efectividad de dichas acciones.

¿Por qué lo hacemos?

Para crear confianza mediante la eliminación de incertidumbres (es decir, por medio de la gestión de riesgos), deben seguirse dos principios fundamentales: ser abiertos y ser previsibles. Si somos transparentes en cuanto a nuestras filosofías, prácticas y procedimientos, los clientes saben exactamente lo que obtienen. Si somos previsibles, se nos percibe como partners fiables, y esa es la razón de nuestras auditorías periódicas.

La gestión de riesgos de Atlassian tiene dos propósitos principales:

  • Minimizar el número de elementos que no podemos controlar. Siempre habrá cosas fuera de nuestro control. Lo importante es que estemos preparados para manejarlas. Tratamos de reducir la probabilidad de que surjan eventos inesperados al tiempo que nos preparamos para gestionar los que sí lleguen a producirse.
  • Dar espacio para afrontar los riesgos de nuestra elección. Cuando la organización afronta numerosos riesgos, aceptar otro más puede parecer desalentador, aunque suponga una gran oportunidad. Sin embargo, si los mencionados riesgos están bajo control, resulta más ventajoso aceptar el nuevo riesgo.

Es útil asemejar el riesgo a la deuda: ambos son activos de capacidad limitada que están a disposición de una organización. Conviene maximizar su empleo en aquellas áreas donde podemos obtener el máximo retorno de la inversión, que es el objetivo de la cartera de riesgos de una empresa equilibrada. Por ejemplo, sería muy poco ventajoso tener un riesgo elevado en nuestras operaciones de nube, lo que conllevaría un mayor número de incidentes y clientes insatisfechos. Por otra parte, podría suponer un gran beneficio experimentar con nuevos usos de nuestros productos. Por tanto, deberíamos minimizar el primer riesgo, lo que nos permitirá aumentar el segundo. Por supuesto, reducir el riesgo a cero puede ser muy costoso (en la mayoría de los casos, imposible) y tal vez no merezca la pena invertir en ello. Cuando tienes un 99,9 % de disponibilidad, añadir más nueves a ese porcentaje resulta progresivamente más difícil. Ese es otro factor a la hora de equilibrar la cartera de riesgos.

Contar con un programa de gestión de riesgos:

  • Se considera una buena práctica empresarial. Se trata de una visión consolidada de nuestros principales riesgos y lo que podemos hacer al respecto. Nos permite consultarlo de forma periódica para asegurarnos de que afrontamos los riesgos del modo previsto. Igual que vamos al médico para confirmar que tenemos un hueso roto y debemos guardar reposo, el programa de gestión de riesgos confirma la idea implícita que los ejecutivos tienen de los riesgos, así como la idoneidad de las estrategias para gestionarlos. En ocasiones, el proceso permite detectar nuevos riesgos que puede ser preciso afrontar.
  • Es necesario para cumplir nuestras obligaciones presentes y futuras de cumplimiento normativo. Las certificaciones nos ayudan a crear confianza en nuestros clientes, lo que aumenta los ingresos y reduce la fricción en las ventas. Las normas SOX, SOC2 e ISO 27001 nos obligan a contar con un programa de gestión de riesgos, a confirmar periódicamente con los ejecutivos los principales riesgos y las estrategias de gestión de los mismos, y a informar al organismo supervisor. A medida que nos introduzcamos en sectores más regulados y obtengamos nuevas certificaciones, como HIPAA, FedRAMP, etc., deberemos ser aún más fiables y aumentará el escrutinio de nuestro programa de gestión de riesgos.
  • Es una prueba de madurez. Al tiempo que crecemos, debemos formalizar prácticas que generen eficiencia operativa y eliminen incertidumbres (es decir, riesgos). Esta eficiencia contribuirá a nuestra capacidad para escalar. En otras palabras, queremos menos sorpresas y validar que el estado de la empresa es el que creemos y sentimos.

Atlassian cuenta con un marco que permite gestionar tanto los riesgos estratégicos como los más cotidianos, en el nivel de equipo. Y es así porque existen claras evidencias de que los procesos de gestión de riesgos facilitan la toma de decisiones operativas y estratégicas, lo que redunda en mayores ingresos y menores márgenes operativos.

¿Cómo lo hacemos?

La Evaluación de riesgos empresariales es un proceso completo que realizamos anualmente y que actualizamos con regularidad a lo largo del ejercicio. El análisis obtiene información de muchas fuentes:

  • Numerosas y distintas evaluaciones para riesgos específicos: las relativas a fraudes, a riesgos de seguridad, a riesgos operativos (como las evaluaciones de impacto empresarial, que son parte del programa BC/DR), a unidades de negocio concretas (p. ej., seguridad de la información y finanzas), etc.
  • Los riesgos concretados, es decir, los incidentes, los problemas potenciales, los análisis “post mortem” de proyectos y entregas importantes o de gran tamaño.
  • Auditorías y evaluaciones internas y externas.
  • Análisis externos de tendencias globales y mercados, p. ej., enfriamientos de la economía, tendencias sectoriales, competencia, etc.
  • Comentarios y datos de clientes, partners empresariales y proveedores.
  • Objetivos y OKR de la empresa y de sus distintas unidades de negocio.
  • Numerosas entrevistas con los empleados de Atlassian.

Cuando recibimos los datos los agregamos, los analizamos para determinar los riesgos y clasificamos estos en función de su probabilidad, su impacto, su velocidad, los beneficios y la efectividad de la gestión del riesgo. Si es necesario, consultamos con responsables empresariales para clarificar la información y asegurar el rumbo a tomar.

Aunque realizamos un seguimiento de los riesgos empresariales, nos centramos en los riesgos elevados sin un beneficio igualmente alto y en aquellas áreas que requieren un examen más atento.

¿Cómo encaja todo en el panorama general?

Mientras que la función de Riesgo y cumplimiento normativo es la que ejecuta el programa (recaba y analiza los datos, informa y hace un seguimiento de la ejecución), el informe periódico de evaluación de riesgos es la visualización unificada del equipo ejecutivo respecto a los riesgos más significativos y el modo de abordarlos. El equipo de Riesgo y cumplimiento normativo puede opinar y asesorar, pero, en última instancia, es el equipo ejecutivo el que decide cuál es la cartera óptima: qué riesgos debemos reducir, cuáles debemos aumentar y hacia dónde debemos dirigir nuestros esfuerzos y recursos.

Por tanto, el informe de evaluación de riesgos suele tenerse en cuenta para la planificación operativa y estratégica, pues ayuda a asignar inversiones y recursos (aunque no es el único impulsor de estas decisiones). También se emplea en la planificación anual de las auditorías internas. El calendario del programa ERM está diseñado de modo que el informe esté preparado hacia finales del año natural. De este modo, también se satisface el requisito de actualizar la información para el Comité de auditoría dos veces al año (en junio y en diciembre).

Se emplea como otro punto de control para determinar el estado del negocio y la empresa. Ayuda a validar o a refutar nuestra “impresión” acerca de las cosas. También supone un elemento más para alinear nuestras metas y objetivos.

Para terminar

Queremos dar a nuestros clientes la confianza de que los riesgos se gestionan de forma adecuada. Aunque hay muchos riesgos bien gestionados, queremos centrarnos en aquellas situaciones en las que el riesgo que aceptamos (de forma implícita o explícita) es demasiado elevado sin un beneficio igualmente elevado. Esta estrategia permite a Atlassian ser ágil en un entorno complejo en el que la gestión del riesgo y el tiempo de comercialización tienen un papel esencial en el desarrollo de una empresa.